苹果上周五发布了iOS、iPadOS、MacOS和Safari浏览器的安全更新，以解决在野外被利用的一对零日漏洞。

这两个漏洞如下：

CVE-2023-28205-在WebKit中免费发布后使用，这可能导致在处理巧尽心思构建的Web内容时执行任意代码。

CVE-2023-28206-这是IOSurfaceAccelerator中的一个额外的写入问题，它可以使应用程序以内核权限执行任意代码。

苹果公司表示，它通过改进内存管理来解决CVE-2023-28205问题，而第二个问题涉及更好的输入验证，并补充说，它知道这些漏洞“可能已经被积极利用了”。

发现并报告这些漏洞的是谷歌威胁分析小组（TAG）的克莱门特莱辛和国际特赦组织安全实验室的唐查·欧·瑟巴伊尔

有关这两个漏洞的详细信息已被扣压鉴于积极利用，并防止更多的威胁行为者滥用它们。

这些更新可在版本iOS 16.4.1，iPadOS 16.41，macOS ventura 13.3.1和Safari 16.1。这些修复也涵盖了广泛的设备——

iPhone 8及更高版本，iPad Pro（所有型号），iPad Air第三代及更高版本，iPad 5代及以上版本，以及iPad mini第五代及以下版本

运行macOS Big Sur、Monterey和Ventura的Mac

自今年年初以来，苹果已经修补了三个零日。今年2月，Apple解决了WebKit中另一个被积极利用的零日漏洞（CVE-2023-23529），该漏洞可能导致任意代码执行。

Google TAG透露，商业间谍软件供应商正在利用Android和iOS的“零日”病毒感染移动设备。